Pirateo silencioso: Qu�� es el ataque MITM, ��Man in the Middle��

Es uno de los hackeos m��s peligrosos que se pueden llegar a realizar y la v��ctima ni se entera de haberlo sufrido.

Actualizado a 26 de agosto de 2020 22:41 CEST

El ataque MITM (Man in the middle), del ingl��s ��Hombre en el medio��, es muy popular entre los ciberdelincuentes por la cantidad de informaci��n a la que pueden llegar a acceder en caso de que tengan ��xito.

Es un tipo de ataque basado en interceptar una comunicaci��n, pudiendo suplantar la identidad de uno u otro seg��n lo requiera para ver la informaci��n y modificarla a su antojo, de tal forma que las respuestas recibidas en los extremos pueden estar dadas por el atacante y no por el interlocutor leg��timo. Pero veamos exactamente en qu�� consiste para entenderlo mejor.

?En qu�� consiste?

B��sicamente, MITM consiste en interceptar la comunicaci��n entre 2 o m��s interlocutores: Para ello, alguien an��nimo llamado ��X�� se sit��a entre ambos e intercepta los mensajes de A hacia B, conociendo la informaci��n y a su vez dejando que el mensaje contin��e su camino.

Generalmente este tipo de ataques son muy peligrosos y dif��ciles de detectar, ya que precisamente uno de los objetivos del atacante es evitar ser descubierto, para ello emplean diversas t��cnicas que complican la detecci��n.

Por si fuera poco con el sigilo, la comunicaci��n entre A y B transcurre normal como si fuera legitima, sin embargo el atacante puede decidir si el mensaje interceptado continuar��, si lo har�� con la misma informaci��n o si lo har�� con otro contenido modificado que pudiera suponerle una ventaja o beneficio.

Tipos de ataques

Los ataques MITM tienen diferentes modalidades que dependen de la t��cnica empleada, por lo tanto, m��s que hablar de los tipos de ataques vamos a hablar de los escenarios de ataque.

- Puntos de acceso wifi abiertos o con baja seguridad,

- Redes locales (LAN),

- Software de navegaci��n anticuado.

Los puntos de acceso wifi p��blicos o con bajo nivel de seguridad pueden suponer un riesgo en el que un atacante de forma deliberada permite la conexi��n para poder efectuar un ataque de ��Man in the middle��. Otra modalidad consiste en imitar el nombre de una red cercana (SSID) para crear confusi��n y que algunas personas conecten por error a ella, adem��s muchos dispositivos est��n configurados por defecto para conectar sin preguntar, conect��ndose autom��ticamente a las redes abiertas m��s cercanas o cuyo nombre SSID es igual.

Las redes locales (Local Area Network LAN) de las empresas tambi��n son vulnerables a este tipo de ataques. El atacante deber�� tener acceso a la red local corporativa, donde podr�� lanzar un ataque que consistir�� en enga?ar a los equipos de la red local haci��ndoles creer que es un dispositivo leg��timo de la misma y forzando a que todo el tr��fico generado pase a trav��s del dispositivo controlado por el ciberdelincuente.

El acceso a las redes locales puede ser llevado a cabo de forma f��sica, por ejemplo con un ordenador o mediante malware, infectando por ejemplo determinados servidores y pudiendo manipular sus respuestas. Por otro lado, los atacantes tambi��n aprovechan las vulnerabilidades de los navegadores obsoletos o no actualizados, por lo que debemos prestar especial atenci��n.

Prevenci��n

Generalmente, es muy dif��cil detectar cuando se est�� sufriendo un ataque de intermediario (Man In The Middle), por tanto, la prevenci��n es la primera medida de protecci��n. Para poder minimizar el riesgo de convertirse en blanco de un ataque de este tipo, podemos llevar a cabo algunas acciones espec��ficas que nos recomienda el INCIBE, el Instituto Nacional de Ciberseguridad espa?ol:

Acceso a sitios web seguros con certificado. (Aquellos que empiezan por HTTPS, comprobando que el certificado pertenece a la compa?��a o entidad que corresponde).
Proteger la red wifi de la empresa. Asegurando como m��nimo la red en modo WPA2-AES con contrase?as robustas y no adivinables, as�� evitaremos que los atacantes puedan colarse en la red local. Si es necesario que los clientes se conecten a una red en nuestra empresa, habilitar una red de invitados con acceso restringido a la red corporativa y servicios de la empresa.
Tener actualizado el software de nuestros equipos, especialmente el sistema operativo y el navegador.
Utilizar contrase?as robustas y siempre que sea posible habilitar la autenticaci��n en dos pasos.
Evitar conectar a redes wifi abiertas (las que podemos encontrar en cafeter��as, hoteles, aeropuertos, centros comerciales, vecindarios, etc.), en caso de conexi��n utilizar una red privada virtual o VPN.
En caso de conexi��n a trav��s de redes p��blicas sin utilizar una VPN (centros comerciales, aeropuertos, etc.), evitar difundir informaci��n personal conect��ndose a redes sociales o banca online, entre otros ejemplos.
Evita usar redes VPN gratuitas, ya que se desconoce qui��n est�� detr��s de ellas y el uso que puedan darle a la informaci��n.
Evitar abrir enlaces de correo procedentes de fuentes desconocidas.
Emplear software de seguridad como antivirus y antimalware en los equipos corporativos y mantenerlo actualizado, realizando escaneos frecuentemente. Adem��s, tambi��n es aconsejable proteger la red LAN mediante el uso de hardware especifico de seguridad como Firewalls o mUTM��s con IPS/IDS (prevenci��n y detecci��n de intrusiones), mejorando as�� tanto la seguridad pasiva como la activa de la red corporativa.
Mantener el firewall por software activado en aquellos sistemas que lo permitan.
Proteger la p��gina web corporativa mediante un certificado SSL.